Script per l'individuazione di eventuali rootkit sul nostro server

Creato il 17 luglio 2011 da Nightfly

Ho pensato di realizzare uno script, basato sul tool chkrootkit, in grado di automatizzare la ricerca di eventuali rootkit presenti sul mio server, con successivo invio di un report via email.

Per prima cosa occorre installare il suddetto tool, mediante il comando:

nightfly@nightbox:~$ sudo apt-get install chkrootkit

Una volta fatto ciò, è necessario creare il file rootkitcheck il cui contenuto dovrà essere il seguente:

#!/bin/bash
destinatario= vostro.indirizzo@email.it
logfile=/var/log/rootkit.log
ROOT_UID=0
if [ "$UID" -ne "$ROOT_UID" ];then
   ERRORE1="Errore 1: Devi essere root per eseguire lo script"
   echo $ERRORE1
   echo "$(date) $ERRORE1" >> $logfile
   exit 1
fi
chkrootkit > temp_rootkit;
cat temp_rootkit | mail -iv -s "HOME: Esito scansione rootkit" $destinatario;
rm temp_rootkit;
exit 0

Rendiamo eseguibile il file appena creato mediante il comando:

nightfly@nightbox:~$ sudo chmod +x rootkitcheck

ed infine aggiungiamo la seguente stringa a cron, in modo da effettuare la scansione ogni lunedì:

*  *   * * 1   root   cd /home/nightfly/ & ./rootkitcheck > /dev/null 2>&1

Ed abbiamo finito.

A presto.


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :